HTTPS

[Martijn85]

Nu op mijn werk eens getest om mijn nas te benaderen.
Dit lukt, maar HTTPS staat in het rood en met een dikke streek er doorheen. Hoe kan dit hersteld worden?

Dan moet je een eigen certificaat aanmaken en deze installeren op je werk. Dan ben je van deze rode balk af.

Verder zou ik me niet te veel zorgen maken om deze rode balk hij geeft alleen aan dat het geen geldig certificaat is.

[Plerry]

... Dan moet je een eigen certificaat aanmaken en deze installeren op je werk. Dan ben je van deze rode balk af ...

Als je toch met een certificaat wil werken, moet je dat toch installeren op de server (op de NAS thuis)
en niet op de cients (bijv. op het werk)?

Plerry

[Martijn85]

Als je toch met een certificaat wil werken, moet je dat toch installeren op de server (op de NAS thuis)
en niet op de cients (bijv. op het werk)?

Plerry

Ook moet je deze natuurlijk op je NAS installeren bij de webserver.

Maar als je een gratis (eigen) certificaat aanmaakt zullen de clients altijd het eigen certificaat als niet vertrouwd certificaat zien. Dit kun je oplossen door het certificaat ook op je clients te installeren. Hierdoor wordt die wel als vertrouwd gezien en is de rooie balk verdwenen.

Het standaard Synology certificaat die er al in zit kun je wel gaan installeren maar omdat dit certificaat het interne IP adres bevat zal het certificaat nooit als vertrouwd worden gezien.

[Briolet]

Synology heeft een eigen default certificaat dat browsers of het os niet herkent. De eerste keer als je van je werkplek inlogt zul je moeten aangeven dat dit certificaat in toekomst (of alleen voor deze sessie) vertrouwd mag worden. Tenminste ik neem aan dat je dat nu niet gedaan hebt en hij daarom geen beveiligde verbinding maakt.

(Je kunt ook eigen certificaten creëren en importeren. Gaat eigenlijk heel eenvoudig op de nas.)

[Raymonddeniet]

Bedankt voor jullie reacties.

Ik ga het uitzoeken, maar aan de andere kant, als het geen kwaad kan is het mij om het even.
Had meer het idee dat hierdoor geen beveiliging is en dus jan en alleman op mijn nas en dus netwerk kan komen

[Briolet]

Had meer het idee dat hierdoor geen beveiliging is en dus jan en alleman op mijn nas en dus netwerk kan komen

Er is alleen geen beveiliging in de data overdracht. Dus in elk tussenstation die jouw data passeren staan die data onversleuteld. En jou wachtwoord wordt onversleuteld naar je nas gestuurd. Op dat moment is het in theorie mogelijk dat iemand dat wachtwoord onderschept als een van de tussen-stations op het netwerk gehackt is.

[Plerry]

Had meer het idee dat hierdoor geen beveiliging is en dus jan en alleman op mijn nas en dus netwerk kan komen

Er is alleen geen beveiliging in de data overdracht. Dus in elk tussenstation die jouw data passeren staan die data onversleuteld. En jou wachtwoord wordt onversleuteld naar je nas gestuurd. Op dat moment is het in theorie mogelijk dat iemand dat wachtwoord onderschept als een van de tussen-stations op het netwerk gehackt is.

Zo ontstaat er verwarring ...  

Het door briolet omschreven onderscheppen van data en inloggegevens is alleen bij gebruik van HTTP in principe mogelijk.

Bij het door Raymonddeniet bedoelde gebruik van HTTPS is alles encrypted, ook zonder certificaat.
Het in die zin afvangen van gegevens is dus niet aan de orde.
Wat potentieel echter nog wel zou kunnen is dat men je "omleidt" naar een fake-site, waar je dan (netjes encrypted) je inloggegevens invoert.
Het certificaat nu, dient ter verificatie van de "identiteit" van de HTTPS server-zijde.
Dat beschermt je tegen een gekaapte DNS server (een site-naam naar IP-adres vertaler) die je naar een verkeerd IP-adres kan sturen waardoor je bij een fake-site uitkomt.
Roep je echter zelf je HTTPS server aan op basis van het IP-adres, dan gebruik je geen DNS server en is zoiets wel heel onwaarschijnlijk.
Bovendien zou men op die fake-site ook nog jouw vertrouwde login-scherm moeten faken.
En, als het er opeens heel anders uitziet dan je gewend bent zonder dat je zelf iets aan je DSM hebt veranderd, neem ik aan dat je niet begint je inlog-gegevens in te voeren ...

Plerry

[Raymonddeniet]

Mooi, dan laat ik het lekker zo.
Dat geeft vertrouwen zo.

No worries!

[Briolet]

Zo ontstaat er verwarring ...  

Het door briolet omschreven onderscheppen van data en inloggegevens is alleen bij gebruik van HTTP in principe mogelijk.

Bij het door Raymond niet bedoelde gebruik van HTTPS is alles encrypted, ook zonder certificaat.
Het in die zin afvangen van gegevens is dus niet aan de orde.

Goed geanalyseerd  Ik ging er van uit dat het dan een HTTP gebruikt werd. Maar ook al kent de browser het certificaat niet, dan is het gebruik van dat onbekende certificaat altijd nog beter dan geen enkel. Dus blijft het wel een versleutelde overdracht.

Ik zie het probleem niet om dat certificaat direct te vertrouwen om van die waarschuwingen af te zijn. Op mijn mac staan die certificaten op systeem niveau en heb ik eigenaars rechten nodig om ze op te slaan. Maar een browser als firefox beheert zelf zijn eigen certificaten. Daar kun je volgens mij ook als gewone gebruiker dit certificaat als betrouwbaar definiëren.

[Aanbeeld]

Dan moet je een beveiligingscertificaat installeren kijk op:

www.struinersunie.nl/Site/index.php/artikelen/45-hands-on/56-gratis-startssl-gecertificeerd-ssl-certificaat-op-uw-synology-diskstation-in-10-stappen

Voor een duidelijke handleiding.